¿Qué es VPN Gateway?
VPN Gateway es un tipo específico de puerta de enlace de red virtual que se usa para enviar tráfico cifrado entre una red virtual de Azure y una ubicación local a través de la red pública de Internet. También puede usar una instancia de VPN Gateway para enviar tráfico cifrado entre las redes virtuales de Azure a través de la red de Microsoft. Cada red virtual solo puede tener una instancia de VPN Gateway. Sin embargo, puede crear varias conexiones a la misma instancia. Al crear varias conexiones a la misma instancia de VPN Gateway, todos los túneles VPN comparten el ancho de banda disponible de la puerta de enlace.
¿Qué es una puerta de enlace de red virtual?
Una puerta de enlace de red virtual se compone de dos o más máquinas virtuales que se implementan en una subred específica llamada subred de la puerta de enlace. Las máquinas virtuales de puerta de enlace de red virtual contienen tablas de enrutamiento y ejecutan servicios específicos de puerta de enlace. Estas máquinas virtuales se crean al generar la puerta de enlace de red virtual. No se pueden configurar directamente las máquinas virtuales que forman parte de la puerta de enlace de red virtual.
Al configurar una puerta de enlace de red virtual, se configura un valor que especifica el tipo de puerta de enlace. El tipo de puerta de enlace especifica cómo se utilizará la puerta de enlace de red virtual y las acciones que realiza la puerta de enlace. El tipo de puerta de enlace "Vpn" especifica que el tipo de puerta de enlace de red virtual creado es una "puerta de enlace de VPN". Esto lo distingue de una puerta de enlace de ExpressRoute, que usa un tipo de puerta de enlace diferente. Una red virtual puede tener dos puertas de enlace de red virtual, una puerta de enlace de VPN y una puerta de enlace de ExpressRoute. Para más información, consulte Tipos de puerta de enlace.
La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada. Al crear una puerta de enlace de red virtual, las máquinas virtuales de puerta de enlace se implementan en la subred de puerta de enlace y se configuran con las opciones que especifique. Después de crear una instancia de VPN Gateway, puede crear una conexión de túnel de VPN de IPsec o IKE entre esa instancia y otra instancia de VPN Gateway (de red virtual a red virtual), o crear una conexión de túnel de VPN de IPsec o IKE con implementaciones locales entre la instancia de VPN Gateway y un dispositivo VPN local (de sitio a sitio). También puede crear una conexión VPN de punto a sitio (VPN a través de OpenVPN, IKEv2 o SSTP) que le permite conectarse a la red virtual desde una ubicación remota como, por ejemplo, una sala de conferencias o desde su casa.
Configuración de una instancia de VPN Gateway
Una conexión de puerta de enlace de VPN se basa en varios recursos con una configuración específica. La mayoría de los recursos puede configurarse por separado, aunque en algunos casos es necesario seguir un orden determinado.
Diseño
Es importante saber que hay distintas configuraciones disponibles para las conexiones de VPN Gateway. Es preciso determinar qué configuración es la que mejor se adapta a sus necesidades. Por ejemplo, las conexiones de punto a sitio, de sitio a sitio y de ExpressRoute o de sitio a sitio coexistentes tienen instrucciones y requisitos de configuración diferentes. Para obtener información sobre el diseño y para ver los diagramas de topología de conexión, consulte Diseño.
Tabla de planeación
La tabla siguiente puede ayudarle a decidir la mejor opción de conectividad para su solución.
| De punto a sitio | De sitio a sitio | ExpressRoute | |
|---|---|---|---|
| Servicios de Azure compatibles | Cloud Services y Virtual Machines | Cloud Services y Virtual Machines | Lista de servicios |
| Anchos de banda típicos | Se basa en la SKU de puerta de enlace | Agregación típica de < 1 Gbps | 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps |
| Protocolos admitidos | Protocolo de túnel de sockets seguros (SSTP), OpenVPN e IPsec | IPsec | Conexión directa a través de redes VLAN y tecnologías VPN de NSP (MPLS, VPLS...) |
| Enrutamiento | RouteBased (dinámico) | Admitimos elementos basados en directivas (enrutamiento estático) y basados en enrutamiento (VPN de enrutamiento dinámico) | BGP |
| Resistencia de la conexión | activa-pasiva | activa-pasiva o activa-activa | activa-activa |
| Caso de uso típico | Acceso seguro a redes virtuales de Azure para usuarios remotos | Escenarios de laboratorio, pruebas o desarrollo y cargas de trabajo de producción a pequeña y mediana escala para Cloud Services y Virtual Machines | Acceso a todos los servicios de Azure (lista validada), cargas de trabajo críticas y empresariales, copias de seguridad, macrodatos, Azure como sitio de recuperación ante desastres |
| Acuerdo de Nivel de Servicio | Acuerdo de Nivel de Servicio | Acuerdo de Nivel de Servicio | Acuerdo de Nivel de Servicio |
| Precios | Precios | Precios | Precios |
| Documentación técnica | Documentación de VPN Gateway | Documentación de VPN Gateway | Documentación de ExpressRoute |
| P+F | Preguntas más frecuentes sobre VPN Gateway | Preguntas más frecuentes sobre VPN Gateway | Preguntas frecuentes sobre ExpressRoute |
Configuración
La configuración que ha elegido para cada recurso es fundamental para crear una conexión correcta. Para más información sobre los recursos individuales y la configuración de VPN Gateway, consulte Acerca de la configuración de VPN Gateway. El artículo contiene información que le ayudará a entender los tipos de puerta de enlace, de SKU de puerta de enlace, de VPN y de conexión, así como las subredes de puerta de enlace, las puertas de enlace de red local y otras configuraciones de recursos que pueden interesarle.
Herramientas de implementación
Puede empezar a crear y configurar recursos mediante una herramienta de configuración, como el portal de Azure. Más adelante puede decidir cambiar a otra herramienta, como PowerShell, para configurar recursos adicionales o para modificar los existentes cuando sea aplicable. Actualmente, no se pueden configurar todos los recursos ni establecer todas las configuraciones de recurso en Azure Portal. Las instrucciones de los artículos para cada topología de configuración indican cuándo se necesita una herramienta de configuración específica.
SKU de puerta de enlace
Al crear una puerta de enlace de red virtual, hay que especificar la SKU de la puerta de enlace que desea usar. Seleccione las SKU que cumplan sus requisitos en función de los tipos de cargas de trabajo, rendimientos, características y Acuerdos de Nivel de Servicio.
- Para más información acerca de las SKU de puerta de enlace, incluidas las características admitidas, los pasos de producción, desarrollo-prueba y configuración, consulte el artículo Configuración de VPN Gateway: SKU de puerta de enlace.
- Para más información sobre las SKU heredadas, consulte Trabajo con SKU heredadas.
SKU de puerta de enlace por túnel, conexión y rendimiento
| Generación de VPN Gateway |
SKU | Túneles S2S/entre redes virtuales |
Conexiones P2S SSTP |
Conexiones P2S IKEv2/OpenVPN |
Pruebas comparativas de rendimiento agregado |
BGP | Con redundancia de zona |
|---|---|---|---|---|---|---|---|
| Generación 1 | Basic | Máx. 10 | Máx. 128 | No compatible | 100 Mbps | No compatible | No |
| Generación 1 | VpnGw1 | Máx. 30* | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | No |
| Generación 1 | VpnGw2 | Máx. 30* | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | No |
| Generación 1 | VpnGw3 | Máx. 30* | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | No |
| Generación 1 | VpnGw1AZ | Máx. 30* | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | Sí |
| Generación 1 | VpnGw2AZ | Máx. 30* | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | Sí |
| Generación 1 | VpnGw3AZ | Máx. 30* | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | Sí |
| Generación 2 | VpnGw2 | Máx. 30* | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | No |
| Generación 2 | VpnGw3 | Máx. 30* | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | No |
| Generación 2 | VpnGw4 | Máx. 30* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | No |
| Generación 2 | VpnGw5 | Máx. 30* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | No |
| Generación 2 | VpnGw2AZ | Máx. 30* | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | Sí |
| Generación 2 | VpnGw3AZ | Máx. 30* | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | Sí |
| Generación 2 | VpnGw4AZ | Máx. 30* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | Sí |
| Generación 2 | VpnGw5AZ | Máx. 30* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | Sí |
(*) Use una red WAN virtual si necesita más de 30 túneles VPN S2S.
Se permite el cambio de tamaño de las SKU de VpnGw en la misma generación, excepto el cambio de tamaño de la SKU básica. La SKU básica es una SKU heredada y tiene limitaciones de características. Para pasar de una SKU básica a otra SKU de VpnGw, debe eliminar la instancia de VPN Gateway de la SKU básica y crear una nueva puerta de enlace con la combinación de generación y tamaño de SKU deseada. Solo puede cambiar el tamaño de una puerta de enlace básica a otra SKU heredada (consulte Trabajo con SKU heredadas).
Estos límites de conexión son independientes. Por ejemplo, en una SKU de VpnGw1 puede tener 128 conexiones SSTP, además de 250 conexiones IKEv2.
Puede encontrar más información sobre los precios en la página de precios.
La información del SLA (contrato de nivel de servicio) puede encontrarse en la página SLA.
En un único túnel, se puede lograr un rendimiento máximo de 1 Gbps. Las pruebas comparativas de rendimiento agregado de la tabla anterior se basan en las mediciones de varios túneles agregados a través de una sola puerta de enlace. El banco de pruebas de rendimiento agregado para una puerta de enlace de VPN es la combinación de S2S + P2S. Si tiene una gran cantidad de conexiones P2S, puede afectar negativamente a una conexión S2S debido a las limitaciones del rendimiento. Las pruebas comparativas de rendimiento agregado no es un rendimiento garantizado debido a las condiciones del tráfico de Internet y a los comportamientos de las aplicaciones.
Para ayudar a nuestros clientes a comprender el rendimiento relativo de las SKU mediante distintos algoritmos, usamos las herramientas iPerf y CTSTraffic disponibles públicamente para medir los rendimientos. En la tabla siguiente se enumeran los resultados de las pruebas de rendimiento de las SKU de VpnGw de la generación 1. Como puede ver, el mejor rendimiento se obtiene cuando usamos el algoritmo GCMAES256 para el cifrado y la integridad IPsec. Obtuvimos un rendimiento medio al usar AES256 para el cifrado IPsec y SHA256 para la integridad. Cuando usamos DES3 para el cifrado IPsec y SHA256 para la integridad, obtuvimos el rendimiento más bajo.
| Generación | SKU | Algoritmos usados |
Rendimiento observado |
Paquetes por segundo por túnel observado |
|---|---|---|---|---|
| Generación 1 | VpnGw1 | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
650 Mbps 500 Mbps 120 Mbps |
58 000 50.000 50.000 |
| Generación 1 | VpnGw2 | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1 Gbps 500 Mbps 120 Mbps |
90 000 80 000 55 000 |
| Generación 1 | VpnGw3 | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1,25 Gbps 550 Mbps 120 Mbps |
105 000 90 000 60 000 |
| Generación 1 | VpnGw1AZ | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
650 Mbps 500 Mbps 120 Mbps |
58 000 50.000 50.000 |
| Generación 1 | VpnGw2AZ | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1 Gbps 500 Mbps 120 Mbps |
90 000 80 000 55 000 |
| Generación 1 | VpnGw3AZ | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1,25 Gbps 550 Mbps 120 Mbps |
105 000 90 000 60 000 |
Zonas de disponibilidad
Las puertas de enlace de VPN se pueden implementar en Azure Availability Zones. Esto aporta una mayor disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual. Implementar puertas de enlace en Azure Availability Zones separa de forma física y lógica las puertas de enlace dentro de una región, y protege la conectividad de red local en Azure de errores de nivel de zona. Consulte Acerca de las puertas de enlace de red virtual con redundancia de zona en Azure Availability Zones.
Precios
Se paga por dos cosas: los costos de proceso por horas de la puerta de enlace de red virtual y la transferencia de datos de salida de esta. Puede encontrar más información sobre los precios en la página de precios. Para los precios de SKU de puerta de enlace heredada, consulte la página de precios de ExpressRoute y vaya a la sección Puertas de enlace de red virtual.
Costos del proceso de puerta de enlace de red virtual
Cada puerta de enlace de red virtual tiene un costo de proceso por horas. El precio se basa en la SKU de la puerta de enlace que especifique al crear una puerta de enlace de red virtual. El costo es para la puerta de enlace en sí y se agrega a la transferencia de datos que pasa a través de la puerta de enlace. El costo de una configuración activa-activa es igual que el de activa-pasiva.
Costos de la transferencia de datos
Los costos de transferencia de datos se calculan en función del tráfico de salida de la puerta de enlace de red virtual de origen.
- Si va a enviar tráfico al dispositivo VPN local, se le cobrará por la tasa de transferencia de datos de salida de Internet.
- Si va a enviar tráfico entre redes virtuales que se encuentren en diferentes regiones, el precio dependerá de la región.
- Si va a enviar tráfico solo entre redes virtuales que están en la misma región, no habrá ningún costo por datos. El tráfico entre redes virtuales de la misma región es gratuito.
Para más información acerca de las SKU de puerta de enlace para VPN Gateway, consulte SKU de puerta de enlace.
P+F
Para conocer las preguntas más frecuentes acerca de VPN Gateway, consulte Preguntas más frecuentes sobre VPN Gateway.
Novedades
Suscríbase a la fuente RSS y vea las actualizaciones más recientes de las características de VPN Gateway en la página Actualizaciones de Azure.